Evolución del malware en 2013

0

Un año más llegan las navidades y, con ellas, la necesidad de recapitular y ver qué ha pasado durante el año en materia de seguridad. Especial agradecimiento aquí al conocimiento cedido por Laboratorios Kaspersky para la realización del informe de “Evolución de malware en 2013“. Para todos aquellos interesados en el tema, iniciamos con este artículo una serie de ellos dedicados a ofrecer informes detallados de lo que ha sucedido este 2013, que veréis en próximos días. 

Notaréis que el estudio vuelve sobre algunos eventos ocurridos o predichos ya el pasado año, con sus evoluciones y técnicas correspondientes:

  • Ataques dirigidos y ciber-espionaje
  • La marcha sin retorno del hacktivismo
  • Ciber-ataques patrocinados por estados
  • El empleo de dispositivos de seguimiento legales
  • La posibilidades de aparición de malware en la nube
  • Vulnerabilidades y exploits importantes
  • Ciber extorsión
  • ¿Confiamos en alguien?
  • Malware para macintosh
  • Malware mobile
  • ¿Hey, donde ha ido my privacidad?

Ahora, viendo esta lista, podemos asentir con tranquilidad y reconocer “esto ya lo sabía yo”. Las predicciones se van cumpliendo.

Hechos destacados del 2013

1. Nuevas “viejas” campañas de ciber-espionaje

Aunque esperáis, con razón, leer historias referentes a este año que nos ocupa, el hecho es que no es tan fácil cuando se trata de ataques dirigidos. Con frecuencia, las raíces de dicho ataque alcanzarán estadios anteriores de tiempo, antes del punto en que fueron informadas. Este fué el caso, por ejemplo, de Stuxnet -el más analizado.

Red October es una campaña de ciber-espionaje que afectó a cientos de víctimas en todo el mundo -incluyendo diplomáticos y agencias gubernamentales, instituciones de investigación, grupos dedicados a la energía, comercio, etc. 

Se trata de un malware de alta sofisticación que, entre otras armas, cuenta con un módulo de resurreción que permite reproducir la infección nuevamente. El código es muy modular, permitiendo a los creadores modificar dicho código para diferentes objetivos (a medida) Este malware tipo APT es capaz, además, de recopilar datos de dispositivos móviles conectados a las redes de la víctima. El primer informe detallado de la amenaza es de comienzos de año, pero sus raíces y nacimiento datan del 2008.

Mapa de infecciones de Octubre Rojo

En Febrero se publicó el análisis de MiniDuke, diseñado para robar información gubernamental y de investigación. El análisis de Kaspersky descubrió 59 víctimas de alto nivel en 23 países, incluyendo Ucrania, Bélgica, Portugal, Rumanía, República Checa, Irlanda, Hungría y España. Como muchos ataques dirigidos, MiniDuke combinaba el uso de ingeniería social de la “vieja escuela” junto con técnicas más sofisticadas. Incluía, por ejemplo, el primer exploit capaz de hacer un bypass sobre la Sandbox de Adobe Reader. 

Se supo, en Marzo de 2013, que una oleada de ataques había alcnazado a políticos de primer nivel y activistas de Derechos humanos en países de Europa del Este. Los atacantes usaron la herramienta de administración remota de Teamviewer para tomar el control de los ordenadores de las víctimas, denominándose la operación “TeamSpy“. El propósito de dichos ataques era conseguir información relevante. aunque no era tan sofisticado como el ataque de Octubre Rojo, NetTraveler y otras APTs, la campaña fué bastante exitosa, lo que nos enseña que no es necesario aplciar complicadas líneas de código para tener éxito en ataques a gran escala.

NetTraveler, (o NetFile) fué anunciado en Junio y es otra amenaza que, en el momento de su descubrimiento, había estado activa mucho tiempo (concretamente desde 2004).

Icono del archivo que contiene la muestra de malware NetTraveler

Esta campaña fué diseñada para robar datos relativos a la Exploración espacial, nano-tecnología, producción energética, poder nuclear, láser, medicinas y telecomunicaciones. NetTraveler fué usado con éxito para vulnerar más de 350 organizaciones en más de 40 países (entre ellos el nuestro y otros europeos). Los objetivos fueron tanto estatales como del sector privado, incluyendo agencias gubernamentales, embajadas, compañías de gas y petróleo, centros de investigación, contratistas militares y activistas.

Si vuestra organización nunca ha sufrido un ataque, es fácil decir aquello de “no me pasará a mi” o imaginarse que la mayoría de lo que hablamos diariamente en Mejor Antivirus es solo “humo” (o histeria) Es fácil concluir, leyendo los titulares, que los temas de grandes ataques son cosa exclusiva de “grandes corporaciones” o aquellas involucradas en “infraestructura crítica”. Sin embargo, cualquier organización o empresa puede engrosar la lista de víctimas. Todos guardamos datos que pueden ser rentables a los ciber-criminales, o que pueden ser usados como “lanzadera” par alcanzar a terceros. Este punto fué ilustrado perfectamente con los ataques Icefog y Wintnti, más recientes.

En Abril se publicó un informe sobre el grupo de cibercrimen Winnti. Este grupo, activo desde 2009, se enfoca en robar certificados digitales firmados por desarrolladores legítimos de software, así como propiedad intelectual (código fuente de algunos programas y juegos). El troyano usado por el grupo es una librería DLL compilada para entornos Win x64. Usa un driver propio firmado digitalmente para operar como una Herramienta completamente operacional de control remoto, otorgando al atacante el control total sobre los equipos. En total, más de 30 empresas de la industria de jugo online cayeron víctimas de esta campaña. sobre todo en Asia, pero también hubo casos en Alemania, EEUU, Japón, China, Brasil, Rusia y Reino Unido. El grupo aún sigue activo.

Mapa de infección de Winnti

Los ataques de Icefog que anunciamos en Septiembre (discutidos en la siguiente sección del informe) estuvieron enfocados en la cadena de suministro y, junto con datos sensibles de las redes objetivo, recopilaron información en emails y credenciales de entornos de red fuera de las redes atacadas.

2. Ciber-mercenarios, una moda en expansión

Si observamos de frente Icefog, pasaría por ser un ataque dirigido como cualquier otro. Pero es una campaña de ciber-espionaje, activa desde 2011, enfocada en Cora del Sur, Taiwan y Japón, pero con tentáculos que han llegado a Europa, China y EEUU. De forma similar, los atacantes han empleado emails con cebos spear-phishing (que contienen adjuntos maliciosos o enlaces a webs comprometidas) para distribuir el malware a sus víctimas. Es díficil, en este tipo de staques, calcular el número de víctimas afectadas, pero lo que es seguro es que en Kaspersky Labs han constatado  que más de 350 equipos con Mac OS X y varias docenas con Windows han sido afectados.

La APT Icefog

Sin embargo, existen algunas distinciones clave respecto a otros ataques que ya hemos comentado. Primero, Icefog es parte de una moda emergente a la que asistimos -ataques de grupos reducidos de ciber-mercenarios que llevan a cabo golpes precisos y después desaparecen. Segundo, los atacantes han dirigido sus esfuerzos hacia la cadena de suministro – sus posibles víctimas incluyen organizaciones gubernamentales, contratistas militares, marítimos, grupos de telecomunicaciones, satélites, industrias y alta tecnología y medios masivos de almacenamiento. Tercero, sus campañas descansan sobre un ciber-espionaje personalizado con herramientas respectivas para equipos Windows y Mac OS. Además de Icefog, se ha detectado el uso de ciertos backdoors (puertas traseras) para movimientos laterales en sistemas internos y para exfiltración de datos.

El grupo chino “Hidden Lynx“, cuyas actividades fueron reportadas por Symantec en Septiembre, cayó en la misma categoría -armas de alquiler-, realizando ataques seleccionados mediante herramientas personalizadas. Este grupo fue responsable de, entre otros, el ataque contra Bit9 este año.

Si miramos al futuro, podemos predecir que más de estos grupos empezarán a aparecer y operar en el mercado underground, ya que las APT son cada vez más demandadas.

3. Hacktivismo y filtraciones

Robar dinero, ya sea directamente accediendo a cuentas bancarias o robando datos confidenciales, no es el único motivo tras las brechas de seguridad. Pueden estar abiertas como forma de protesta política o social, o para reducir la reputación de una empresa objetivo. El hecho es que Internet rodea casi cualquier aspecto de nuestras vidas cotidianas. Para aquellos con aptitudes tecnológicas elevadas, puede ser más fácil lanzar un ataque hacia un gobierno o web comercial que en los casos de coordinar una demostración de protesta en el mundo real.

Una de las armas escogidas por aquellos que tienen un motivo de este tipo es el típico ataque DDoS (Distribución de Denegación de Servicio). uno de los mayores ataques DDoS (hay quien afirma que es el mayor hasta la fecha) se produjo en Marzo y fué dirigido contra SpamHaus. Se estima que, en su pico máximo, el ataque alcanzó 300Gbps de velocidad. Una organización sospechosa de la autoría era la llamada Cyberbunker. El conflicto entre ambas organizaciones data de 2011, pero alcanzó su máxima expresión  cuando CyberBunker metió en la lista negra a SpamHaus semanas antes del incidente. El dueño de CyberBunker denegó la responsabilidad, pero afirmó hablar en nombre de aquellos que sí eran responsables de lanzarlo. El ataque fuñe ciertamente iniciado por alguien capaz de generar enormes cantidades de tráfico. Para mitigar esto, SpamHaus fué obligada a moverse a ClouFare, un proveedor de hosting conocido por disipar grandes ataques DDoS. Aunque muchos  agoreros llenaron la red de titulares con proclamas similares al “juicio final”, lo que sí quedó demostrado es que un atacante determinado y con equipo puede hacer mucho daño.

Mapa que ilustra los movimientos clásicos de un ataque DDoS

Mientras el ataque hacia SpamHaus parece haber sido algo aislado, posteriores actividades de “hacktivismo” han sido llevadas a cabo este año. Esto incluye, como no, al grupo Anonymous, Este año han asumido la responsabilidad de ataques hacia el Departamento de Justicia de EEUU, el MIT (Massachusetts Institute of Technology) y webs de varios gobiernos -Polonia, Grecia, Singapur, Indonesia y Australia- (los dos últimos casos implicaron intercambios entre grupos de Anonymous locales). El grupo también afirma haber hackeado la red Wifi del Parlamento británico durante las protestas en Parliament Square en la primera semana de Noviembre.

Aquellos que afirman ser parte del grupo “Syrian Electronic Army” (seguidores del presidente sirio Bashar-al-Assad) también han estado activos durante el año 2013. En Abril, afirmaron ser responsables del hackeo de una cuenta de Twitter de Associated Press y enviaron un tweet falso afirmando que habían tenido lugar unas explosiones en la Casa Blanca -con pérdidas de 136 millones de dólares en la bolsa-. En Julio, este grupo comprometió cuentas de Gmail pertenecientes a empleados de la Casa Blanca y la cuenta de twitter de Thomson Reuters.

Está claro que nuestra dependencia de la tecnología, junto con el enorme poder de procesamiento de los ordenadores actuales, significa que somos potencialmente vulnerables a ataques procedentes de grupos de personas con diferentes motivaciones. No parece que este tipo de campañas vayan a cesar sino más bien al contrario.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR